我正在构建一个存储用户 session 等的市场……我刚刚为登录和支付添加了 SSL 加密(我使用 stripe 作为支付网关)。我看到像 facebook 这样的网站在每个页面上都强制使用 HTTPS,这让我想知道,我应该在每个页面上强制使用 HTTPS 还是仅在登录和付款时强制使用 HTTPS? 旁注,显然 SSL 加密页面加载速度更快
最佳答案
是的。但不仅仅是因为加载速度更快,or even ranks better on Google than non-HTTPS网站,但主要是因为安全性。使用 HTTPS 使得进行中间人攻击变得更加困难,攻击会拦截您的网站与用户之间的连接以窃取或修改数据。 HTTP 的问题在于,有人可能会这样做,然后修改链接以指向虚假的登录页面以窃取数据(这听起来有点偏执,但确实发生了)。
虽然许多页面使用脚本来检查用户是否正在尝试访问 HTTP,然后将它们重定向到 HTTPS 版本,但这对于网站来说仍然是一个问题,因为攻击者仍然可以“剥离”任何 HTTPS 链接(称为SSLStrip 攻击)只使用 HTTP 然后查看数据,看看启用 HSTS (HTTP 严格传输安全)以增强安全性以避免这种情况。这是通过强制浏览器仅在 HTTPS 连接上与网站交互并避免任何类型的降级攻击来完成的。
关于ssl - 我应该在每个页面上设置 https 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31319281/